Los hackers utilizan dispositivos Android hackeados para crear cuentas de pago
Last Updated on febrero 28, 2022 by Daniel Cepeda
Plataforma Android hackeada para crear cuentas de pago. Los expertos de Trend Micro estaban investigando los servicios de PVA (cuentas verificadas por teléfono) por SMS cuando descubrieron una plataforma fraudulenta construida a partir de una red de bots de miles de teléfonos Android infectados.
La plataforma proporciona a sus clientes los dispositivos de otra persona para crear cuentas ficticias.
Los servicios de PVA por SMS, que se generalizaron ya en 2018, proporcionan a sus clientes números de móvil alternativos que pueden utilizarse para registrarse en diversos servicios y plataformas en línea, y ayudan a eludir la autenticación basada en SMS y los SSO creados para verificar nuevas cuentas.
La telemetría recogida por la empresa muestra que Indonesia representa la mayoría de las infecciones (47.357), seguida de Rusia (16.157), Tailandia (11.196), India (8.109), Francia (5.548), Perú (4.915), Marruecos (4.822), Sudáfrica (4.413), Ucrania (2.920) y Malasia (2.779).
La mayoría de los dispositivos afectados son teléfonos Android de bajo coste, incluyendo dispositivos de Lava, ZTE, Mione, Meizu, Huawei, Oppo y HTC.
El servicio de smspva que los investigadores desmontan como ejemplo consiste en su totalidad en dispositivos Android infectados con malware de secuestro de SMS.
Los investigadores creen que esto podría haber sucedido de dos maneras: a través de malware descargado accidentalmente por los usuarios, o a través de malware preinstalado en los dispositivos durante la producción.
Es decir, la segunda opción implica comprometer la cadena de suministro.
El servicio de malware se anuncia como “un montón de números de teléfono virtuales” para su uso en diversas plataformas a través de una API, y sus administradores afirman proporcionar números de teléfono de más de 100 países de todo el mundo.
El malware Guerrilla (plug.dex) asociado a esta actividad está diseñado para analizar los mensajes SMS, cotejarlos con determinadas plantillas recibidas de un servidor remoto y, a continuación, transmitir al servidor de los hackers los mensajes adecuados que coincidan con dichas plantillas.
Dado que los portales en línea suelen autenticar las nuevas cuentas cruzando la ubicación de los usuarios (dirección IP) con sus números de teléfono durante el registro, los servicios de PVA por SMS eluden esta restricción utilizando proxies y VPN residentes.
Anteriormente